Panoramica delle smart card virtuali
Warning
Windows Hello for Business e le chiavi di sicurezza FIDO2 sono metodi moderni di autenticazione a due fattori per Windows. I clienti che usano smart card virtuali sono invitati a passare a Windows Hello for Business o FIDO2. Per le nuove installazioni di Windows, è consigliabile Windows Hello for Business o le chiavi di sicurezza FIDO2.
Questo articolo offre una panoramica della tecnologia delle smart card virtuali.
Descrizione delle caratteristiche
La tecnologia delle smart card virtuali offre vantaggi di sicurezza paragonabili alle smart card fisiche usando l'autenticazione a due fattori. Le smart card virtuali emulano la funzionalità delle smart card fisiche, ma usano il chip TPM (Trusted Platform Module) disponibile nei dispositivi. Le smart card virtuali non richiedono l'uso di una smart card fisica separata e di un lettore. Le smart card virtuali vengono create nel TPM, in cui le chiavi usate per l'autenticazione vengono archiviate nell'hardware protetto tramite crittografia.
Utilizzando dispositivi TPM che offrono le stesse funzionalità di crittografia delle smart card fisiche, le smart card virtuali realizzano le tre proprietà chiave desiderate per le smart card: non esportabilità, crittografia isolata e anti-martellamento.
Applicazioni pratiche
Le smart card virtuali sono funzionalmente simili alle smart card fisiche, visualizzate in Windows come smart card sempre inserite. Le smart card virtuali possono essere usate per l'autenticazione a risorse esterne, la protezione dei dati tramite crittografia e l'integrità tramite la firma. È possibile distribuire smart card virtuali usando metodi interni o una soluzione acquistata e possono sostituire altri metodi di autenticazione avanzata in un'impostazione aziendale di qualsiasi scala.
Casi d'uso di autenticazione
Autenticazione a due fattori\accesso remoto basato su u2012
Dopo che un utente ha una smart card virtuale TPM completamente funzionante, con provisioning con un certificato di accesso, il certificato viene usato per ottenere l'accesso autenticato alle risorse aziendali. Quando viene eseguito il provisioning del certificato corretto nella scheda virtuale, l'utente deve fornire solo il PIN per la smart card virtuale, come se fosse una smart card fisica, per accedere al dominio.
In pratica, questo è facile come l'immissione di una password per accedere al sistema. Tecnicamente, è molto più sicuro. L'uso della smart card virtuale per accedere al sistema dimostra al dominio che l'utente che richiede l'autenticazione ha il possesso del personal computer su cui è stato effettuato il provisioning della scheda e conosce il PIN della smart card virtuale. Poiché questa richiesta non avrebbe potuto avere origine da un sistema diverso dal sistema certificato dal dominio per l'accesso dell'utente e l'utente non avrebbe potuto avviare la richiesta senza conoscere il PIN, viene stabilita un'autenticazione a due fattori avanzata.
Autenticazione client
Le smart card virtuali possono essere usate anche per l'autenticazione client usando TLS/SSL o una tecnologia simile. Analogamente all'accesso al dominio con una smart card virtuale, è possibile effettuare il provisioning di un certificato di autenticazione per la smart card virtuale, fornito a un servizio remoto, come richiesto nel processo di autenticazione client. Questo è conforme ai principi dell'autenticazione a due fattori perché il certificato è accessibile solo dal computer che ospita la smart card virtuale e l'utente deve immettere il PIN per l'accesso iniziale alla scheda.
Reindirizzamento delle smart card virtuali per le connessioni desktop remoto
Il concetto di autenticazione a due fattori associato alle smart card virtuali si basa sulla prossimità degli utenti ai dispositivi usati per accedere al dominio. Quando ci si connette a un dispositivo che ospita smart card virtuali, non è possibile usare le smart card virtuali presenti nel dispositivo remoto durante la sessione remota. Tuttavia, è possibile accedere alle smart card virtuali nel dispositivo di connessione (che è sotto il controllo fisico), caricate nel dispositivo remoto. È possibile usare le smart card virtuali come se fossero installate usando il TPM dei dispositivi remoti, estendendo i privilegi al dispositivo remoto, mantenendo al tempo stesso i principi dell'autenticazione a due fattori.
Casi d'uso relativi alla riservatezza
Crittografia della posta elettronica S/MIME
Le smart card fisiche sono progettate per contenere chiavi private. È possibile usare le chiavi private per la crittografia e la decrittografia della posta elettronica. La stessa funzionalità esiste nelle smart card virtuali. Usando S/MIME con la chiave pubblica di un utente per crittografare la posta elettronica, il mittente di un messaggio di posta elettronica è certo che solo la persona con la chiave privata corrispondente può decrittografare il messaggio di posta elettronica. Questa garanzia è il risultato della non esportabilità della chiave privata. Non esiste mai a portata di mano di software dannoso e rimane protetto dal TPM, anche durante la decrittografia.
BitLocker per i volumi di dati
La tecnologia Crittografia unità BitLocker usa la crittografia a chiave simmetrica per proteggere il contenuto del disco rigido di un utente. BitLocker garantisce che se la proprietà fisica di un disco rigido viene compromessa, un antagonista non sarà in grado di leggere i dati dall'unità. La chiave usata per crittografare l'unità può essere archiviata in una smart card virtuale, che richiede la conoscenza del PIN della smart card virtuale per accedere all'unità e il possesso del dispositivo che ospita la smart card virtuale TPM. Se l'unità viene ottenuta senza accesso al TPM che ospita la smart card virtuale, qualsiasi attacco di forza bruta sarà difficile.
È possibile usare BitLocker per crittografare le unità portabili, archiviando le chiavi nelle smart card virtuali. In questo scenario, a differenza dell'uso di BitLocker con una smart card fisica, l'unità crittografata può essere usata solo quando è connessa al dispositivo per la smart card virtuale usata per crittografare l'unità, perché la chiave BitLocker è accessibile solo dal dispositivo. Questo metodo può essere utile per garantire la sicurezza delle unità di backup e dell'archiviazione personale anche all'esterno del disco rigido principale.
Caso d'uso dell'integrità dei dati
Dati di firma
Per verificare la creazione dei dati, un utente può firmarli usando una chiave privata archiviata nella smart card virtuale. Le firme digitali confermano l'integrità e l'origine dei dati.
- Archiviazione della chiave in un sistema operativo accessibile, gli utenti malintenzionati possono accedervi e usarla per modificare i dati già firmati o per falsifiare l'identità del proprietario della chiave
- L'archiviazione della chiave in una smart card virtuale significa che è possibile usarla solo per firmare i dati nel dispositivo host. Non è possibile esportare la chiave in altri sistemi (intenzionalmente o involontariamente, ad esempio con il furto di malware), rendendo le firme digitali più sicure rispetto ad altri metodi per l'archiviazione delle chiavi private
Requisiti hardware
Per usare la tecnologia smart card virtuale, TPM 1.2 è il minimo necessario per i dispositivi che eseguono un sistema operativo supportato.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per